未转义的模型属性

Question

我安装了刹车手并发现了安全漏洞。

这是我的警告

未转义的模型属性在第 24 行附近内联渲染：render(inline => SendGridMailer.weekly_email([current_user], WeeklyNewsletterFactory.new.email(:preview => true)).html_part.body.raw_source, {} )

第 24 行

render inline: SendGridMailer.weekly_email([current_user], email).html_part.body.raw_source

我已经按照刹车员的建议尝试了这个解决方案，但是在这样做之后我开始收到错误无法解析

render(inline: SendGridMailer.weekly_email([current_user], email).html_part.body.raw_source,{}) 

导轨 - 4.2.4
刹车手 - 3.1.2
红宝石 - 2.3.1

Answer 1

当您调用render inline: ... 时，Rails 会将传入的文本视为 ERB 模板。这意味着如果您提供的字符串中包含任何 <%...%> 标签（或攻击者插入它们的可能性），它们将作为 Ruby 代码执行。

如果这是你想要的，那么没有问题。 Ignore the warning. 但请记住这是危险的！ 如果攻击者可以操纵文本插入 ERB 标签，他们就可以在您的服务器上执行任意代码。

如果你只想输出一些 HTML，使用

render html: SendGridMailer.weekly_email([current_user], email).html_part.body.raw_source.html_safe

（请注意，如果您没有在电子邮件中转义用户输入，则可能会出现cross-site scripting）。

如果要输出纯文本，请使用

render plain: SendGridMailer.weekly_email([current_user], email).html_part.body.raw_source

此外，Brakeman 不会输出建议的代码修复，因此您可能会误解报告。

Answer 2

您可以使用 Premailer::Rails::Hook.perform

Premailer::Rails::Hook.perform(SendGridMailer.weekly_email([current_user], email)).html_part.body.raw_source

Answer 3

在视图中，您可以添加 h() 以转义值并删除刹车警告